webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Service après-vente en ligne non sécurisé : DARTY condamné par la CNIL à 100.000 € d’amende !

Délibération de la CNIL n°SAN-2018-001 du 8 janvier 2018

La CNIL a prononcé une sanction de 100.000 euros à l’encontre de la société DARTY pour manquement à son obligation de sécurité.



Ce qu’il faut retenir : La CNIL a prononcé une sanction de 100.000 euros à l’encontre de la société DARTY pour manquement à son obligation de sécurité. En effet, à la suite d’une alerte puis d’un contrôle de vérification en ligne, la CNIL a constaté qu’une faille de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente.

Pour approfondir : Le 27 février 2017, l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information a informé les services de CNIL qu’une violation de données à caractère personnel à partir de l’URL http://darty.epticahosting.com/selfdarty/register.do permettrait d’accéder à plusieurs milliers de données de clients de la société.

La CNIL a alors procédé à des missions de contrôle en ligne et sur place au sein des locaux de la société DARTY.

A l’occasion du contrôle en ligne, la CNIL a constaté que l’URL en cause renvoyait vers un formulaire permettant aux clients de la société de déposer une demande de service après-vente. Une fois le formulaire obligatoirement renseigné d’une adresse électronique et d’un mot de passe, un lien hypertexte correspondant au numéro d’enregistrement de la demande permettait d’accéder à son suivi. La délégation a constaté que cet identifiant était contenu dans l’adresse URL. En modifiant le numéro d’identifiant dans cette adresse URL, les fiches de demande de service après-vente remplies par d’autres clients de la société devenaient accessibles.

Lors du contrôle sur place effectué au sein des locaux de DARTY, la CNIL a constaté que DARTY utilisait pour la gestion des demandes de service après-vente de ses clients un outil fourni par son sous-traitant, la société EPTICA.

Ce logiciel de service après-vente était alimenté par trois sources :

  • le formulaire de demande de service après-vente accessible depuis le site de la société, www.darty.com ;
  • les demandes adressées par courrier électronique à une adresse dédiée ;
  • le formulaire accessible depuis l’URL litigieuse.

Ce dernier formulaire, a l’origine de la violation des données correspond au formulaire natif développé et commercialisé par la société EPTICA dans sa solution de gestion des demandes de service après-vente et pour lequel la société EPTICA n’avait pas mis en place de filtrage des adresses URLs.

DARTY a précisé qu’elle ne l’utilisait pas et qu’il n’aurait pas dû être accessible.

Pourtant, lors du contrôle fait par la CNIL, il a été constaté que les fonctionnalités du logiciel rendant accessible ce formulaire n’avaient pas été désactivées.

A ce titre, la CNIL a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

Par ailleurs, il était évident que le sous-traitant de DARTY ne présentait pas un niveau de sécurité adéquat. Le simple fait que DARTY fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

Dès lors, DARTY aurait dû s’assurer préalablement à l’utilisation du logiciel de service après-vente, que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

L’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information selon la CNIL.

Dans la mesure où des fiches des clients étaient toujours accessibles entre le premier et le second contrôle de la CNIL et que de nouvelles fiches avaient été créées dans ce laps de temps, la formation restreinte a considéré que le manquement à l’obligation de sécurité était caractérisé.

Partant, la CNIL a prononcé une sanction d’un montant de 100.000 euros à l’encontre de la société DARTY. Le montant faible de la sanction a été déterminé en considération de la bonne coopération de DARTY avec les services de la CNIL et de son initiative de diligenter un audit de sécurité après cette atteinte à la sécurité.

A noter que ce même contrôle aurait pu donner lieu à des sanctions beaucoup plus lourdes à l’encontre de DARTY s’il s’était déroulé après l’entrée en application du Règlement européen sur la protection des données personnelles qui prévoit pour ce type de violation des sanctions pouvant atteindre 10.000.000 d’euros ou 2% du chiffre d’affaire mondial de DARTY et aurait également engagé directement la responsabilité de son prestataire la société EPTICA.

A rapprocher : article 34 et article 35 de la loi n°78-17 du 6 janvier 1978 dite loi informatique et libertés.

VOIR AUSSI

Usage d’une dénomination à titre d’identifiant et non comme simple indicateur de référencement

Cass. com., 23 janvier 2019, n°17-18.693

- Vu : 948

L’usage d’une dénomination afin de désigner des produits ou des gammes vendus sous une marque, est un usage du signe comme indicateur de l’origine des produits et, en conséquence, susceptible de porter atteinte à une marque antérieure.

> Lire la suite

Loi n°2014-315 du 11 mars 2014 renforçant la lutte contre la contrefaçon

- Vu : 7595
Le Parlement vient d’adopter définitivement la Loi renforçant la lutte contre la contrefaçon, publiée au JO du 12 mars, qui modifie certaines des dispositions existantes du code de la propriété intellectuelle. > Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 105531
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 87847
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
L'efficacité des pactes d'actionnaires
1 décembre 2008 - Vu : 43613
Stabilité du capital et de l’actionnariat, contrôle de l’entreprise ou des modalités de son transmission, tels sont les ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 43226
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©